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(57) Abstract; The invention relates to a device and method for 
the recognition of at least one individual and to the corresponding 
access control device and system and application thereof. The 
inventive recognition device comprises a one-piece integrated 
circuit which is produced by integrating the following elements 
on a silicon substrate: at least one biometric information sensor; 
means of processing said biometric information; cryptographic 
means which deliver at least one piece of encrypted data that is 
representative of at least one part of said biometric information 
and/or a corresponding piece of recognition information; and 
protection means that block access to data in transit, stored 
and/or processed in said one-piece integrated circuit in order to 
create a secure perimeter. In this way, the data exchanged by 
said sensor(s) 1 processing means and cryptographic means, and 
particularly the aforementioned biometric information, are only 
saved in the one-piece integrated circuit and cannot be accessed 
from outside. Moreover, only encrypted data are delivered to the 
outside from said one-piece integrated circuit, 

(57) Abrege* : Dispositif etproc6de" de reconnaissance d'au moins 
un individu, dispositif et systeme de controle d'acces et application 
correspondants. L 1 invention conceme un dispositif de reconnais- 
sance d'au moins un individu, comprenant, dans un circuit inte- 
gre" monolithique obtenu par r integration sur un merne substrat 
de silicium de: au moins un capteur d'iriformations biometriques, 
des moyens de traitement desdites informations biometriques, des 
moyens cryptographiques, delivrant au moins une donnee cryptee 
representative d*au moins une partie desdites informations biome- 
triques et/ou d'une 

[Suite sur la page suivante] 
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Public : 

— avec rapport de recherche Internationale 

— avant V expiration du de'laiprevu pour la modification des 
revendicattons, sera republiee si des modifications sont 
regues 
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information de reconnaissance correspondante, et des moyens de protection, empechantTacces aux donnees transitant, stockees et/ou 
traitees dans ledit circuit integre monolithique, pour former un peri metre securise, de facon que les donnees ec nan gees par le ou les- 
dits capteurs, lesdits moyens de traitement et lesdits moyens cryptographiques, et notamment lesdites informations biom^triques, 
soient conservees uniquement dans ledit circuit integre monolithique, res tan t inaccessibles depuis rexterieur, et que seules des don- 
nees cryptees soient d£livr£es k rexterieur dudit circuit inte'gre' monolithique. 
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DISPOSITIF ET PROCEDE DE RECONNAISSANCE D AU MOINS UN 1NDTVIDU, DISPOSITIF ET SYSTEME 
DE CONTROLE D'ACCES ET APPLICATIONS CORRESPONDANTES 



Le domaine de V invention est celui de la biorn&rie, c'est-ii-dire de la 
5 reconnaissance ou de Fidentification d*individus k partir de certaines de leurs 
caract^ristiques biom^triques (empreinte digitale, empreinte vocale, empreinte 
oculaire, . . notamment dans le cadre d' applications prevoyant un acc&s securise 
k des lieux, des objets et/ou des donn€es. 

Plus precis&nent, l'invention concerne la sdcurisation de la mise en ceuvte 
10 de capteurs biom6triques, 

L 'utilisation de la reconnaissance de caract^ristiques biom6triques pour le 
contrdle d'acc&s est une technique bien connue en soi, tant pour acc&ier k nn site 
ou k une pi£ce protegee qu'a des donnees stocMes dans une base de donnees. Les 
syst&mes de ce type comprennent un capteur, par exemple pour relever une image 
15 d'une empreinte digitale, et des moyens de traitement et d* analyse de cette image, 
d6cidant de la reconnaissance ou de la non-reconnaissance de Tindividu, 

En premiere approche, cette technique est seduisante, car elle semble 
garantir que Tindividu present est bien celui que le systeme a identify, et non un 
tiers mal intentionnS. 

20 Une analyse plus pouss^e montre cependant que cela n'est pas le cas. IL est 

en effet lelativement ais£, pour un pirate, de contourner le systSme, par exemple 
en pr61evant le signal deHvr6 par le capteur lors de la reconnaissance d'un 
individu autoris£, puis de reproduire le meme signal pour le fournir aux moyens 
de traitement et d* analyse. Ces derniers concluront alors k une reconnaissance 

25 positive, en T absence de Pindividu autoris£, 

n apparait done clairement que les systemes connus n'apportent pas un 
niveau de s6curit6 suffisant, pour de nombreuses applications. Cela est dfl 
notamment au fait que ces systfemes mettent en oeuvre des 616ments s£par6s 5 ce qui 
implique des flux de donnees sensibles facilement accessibles et reexploitables 
. 30 entre des £16ments sSpar£s. 
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On a pens 6 & regrouper dans un meme boitier, ou sur un meme circuit 
imprim£, ces elements s£par6s. Mais cela ne change pas le probleme, mSme si 
cela peut le rendre un peu plus complexe. Les donnees sensibles circulent sur un 
bus, par exemple entre le capteur qui relfeve l'empreinte et le microprocesseur qui 
5 la traite et 1'analyse, Des lors , il est possible, pour une personne mal intentionn^e, 
avec des moyens relativement peu complexes, de d&ecter les signaux circulant sur 
ce bus, on de transmettre via ce bus de fansses donnees an microprocesseur. 

II est Si. noter que 1' identification et Tanalyse de ce problfeme font en eux- 
memes partie de ^invention. 
10 Au-del& de cette forte vulnerability des syst&mes existants, se pose 

ggalernent le probl&rne important de la protection des informations privies et 
fortement confidentielles que constituent les informations biom^triques. En effet, 
du fait de Inaccessibility des flux de donnees codant la caract£ristique biom^trique, 
il est possible de cr£er illicitement une base de donnees, en vue d'une utilisation 
15 interdite par les textes de loi. IL serait par exemple envisageable d'utiliser une telle 
base de donnees pour en extraire des caracteristiques individuelles, qui 
permettraient un ciblage commercial non autorise par Findividu, 

Tant que ces problemes ne sont pas r^solus, il n'est bien stir ni souhaitable 
ni envisageable que ces techniques biom^triques soient largement utilises , par 
20 exemple dans le cadre d' applications gouvernementales ou bancaires. 

L'invention a notamment pour objectif d'apporter une solution k ces 
problfemes des techniques de Tart antSrieur. 

Plus pr€cis6ment, un objectif de Tinvention est de fournir une technique 
permettant l'utilisation de caracteristiques biomStriques de fa$on sflre et fiable. 
25 Notamment, Finvention a pour objectif de fournir une telle technique, qui ne 
permette pas k un pirate potentiel de recueillir et r6utiliser des donnees 
biom£triques d'un tiers. 

Un autre objectif de 1' invention est de fournir une telle technique, 
garantissant la confidentiality des empreintes biometriques d'un individu, 
30 L'invention a dgalement pour objectif de fournir une telle technique, qui 
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puisse etre mise en oeuvre industiiellement k grande echelle, avec un coflt de 

revient acceptable. 

Ces objectifs, ainsi que d'autres qui apparattront par la suite, sont atteints 

selon T invention k Faide d'un dispositif de reconnaissance d'au moins un 

individu, comprenant, dans un circuit int£gr£ monolithique obtenu par 

rint^gration sur un meme substrat de silicium de : 

au moins un capteur ^informations biometriques, 
des moyens de traitement desdites informations biometriques, 
des moyens cryptographiques, d&ivrant au moins une donn^e 
cryptee repr6sentative d'au moins une partie desdites informations 
biometriques et/ou d'une information de reconnaissance 
correspondante, et 

des moyens de protection, empSchant l'accfes aux donn^es 
transitant, stock^es et/ou trait£es dans ledit circuit int6gr6 
monolithique, pour former un p6rim&tre securis£, 
de fa?on que les donn6es €chang£es par le ou lesdits capteurs, lesdits moyens de 
traitement et lesdits moyens cryptographiques, et notamment lesdites informations 
biometriques, soient conserves uniquement dans ledit circuit integr£ 
monolithique, restant inaccessibles depuis rext6rieur, et que seules des donn£es 
cryptees soient d6Uvr£es k l'ext&ieur dudit circuit intfigrf monolithique, 

Ainsi, on empSche l'accte aux informations biometriques, que ce soit pour 
les r^utiliser de fa9on mal intentionn^e ou pour les enregistrer. On garantit done 
efficacement la confidentiality et la s6curit6, c r est-a-dire 1'exactitude de 
Tidentification. 

Le fait que tous les moyens soient regroup^s dans un module monobloc 
rend impossible 1'accSs aux donn^es circulant k Tint&ieur. Les moyens 
cryptographiques permettent de ne laisser sortir que des donn^es non 
interpr6tables par un tiers. Selon r invention, ce module monobloc unique est un 
circuit int£gre monolithique. Cette approche nouvelle et inventive dans ce 
domaine technique s'avere trfes efficace, en termes de protection, et aisde k mettre 
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en ceuvre de fagon industrielle, tout en permettant de fournir des dispositifs de 
faible taille et peu consommateuxs d'&iergie. 

Le ou lesdits capteurs sont intggrables sur silicium. Cela pennet une 
fabrication simplifi^e (ajout d'une couche suppl^mentaire correspondant an 
capteur lors de la fabrication du composant par exernple) et surtout une bonne 
sdfcurisation de l'ensemble, 

Enfin, ledit circuit int£gr6 monolithique comprend des moyens de 
protection, ou de s^curisation, empSchant l'accfes aux donn^es transitant, stock^es 
et/ou trait6es dans ledit circuit integr6 monolithique, de fa$on k d^finir un 
perimetre securis6, Cela permet de renforcer encore la security c'est-^-dire de 
garantir au mieux le non-acc6s par des tiers aux informations biom&riques. 

Lesdits moyens de protection empechant l'acc&s aux donndes comprennent 
au moins un des moyens appartenant notamment au groupe comprenant : 

des moyens de surveillance de 1' alimentation 61ectrique dudit 
circuit intSgrg monolithique ; 

des moyens de surveillance des caractfiristiques d'une horloge 

synchronisant le fonctionnement dudit dispositif ; 

des moyens de contrdle de la temperature dudit circuit int6gr6 

monolithique; 

des moyens de brouillage des effets dLectromagnetiques induits par 

les Iraitements internes au dispositif ; 

des moyens de protection anti-rayonnement ; 

des moyens de blindage 61ectromagnetiques ; 

des moyens de blindage physique destines h. pi^venir etfou d^tecter 

toute tentative d'intrusion physique et/ou 61ectrique sur le 

dispositif ; 

des moyens de brouillage des informations transitant, trait^es et/ou 
stock^es dans le circuit intggre monolithique. 
Lesdites informations biometriques trait£es par le dispositif de l'invention 
peuvent Stre de tout type adgquat. EUes peuvent en particulier appartenir au 
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groupe cornprenant : 

des empreintes digitales ; 

des empreintes vocales ; 

des empreintes oculaires ; 

des caracteristiques morphologiques ; 

des caracteristiques comportemenlales. 
Des combinaisons de ces informations sont bien sfir possibles. 
De fagon avantageuse, le on lesdits capteurs peuvent notamment appartenir 
au groupe comprenant : 

des capteurs thermiques ; 

des capteurs de pression ; 

des capteurs optiques ; 

des capteurs de mouvenient ; 

des capteurs de rayonnement ; 

des capteurs de caracteristiques £lectriques ; 

des capteurs de formes physiques, 
Par ailleurs, lesdits moyens de traitement comprennent avantageusement 
des moyens de mise en forme d'au moins un signal delivr£ par au moins un desdits 
capteurs et des moyens d T extraction dudit signal mis en forme d'au moins un 
caractfere pertinent, forrnant une signature num£rique pennettant ^identifier de 
mani&re unique un individu, 

Selon un mode de realisation avantageux de Tinvention, lesdits moyens 
cryptographiques dglivrent une signature cryptographique, calcutee k l'aide d r au 
moins une cl6 stock£e dans une unite de stockage dudit circuit int£gr£ 
monolithique, 

De fagon pr£f£rentielle, ladite signature cryptographique tient compte 
6galement d'au moins un parametre al^atoire g£n£re et communique par des 
moyens independants dudit circuit int£grS monolithique, 

II pent par exemple s'agir d'une donn£e fournie par un dispositif de 
contrfile d'acc&s, d*une donn^e horodat£e et/ou d'une donn£e fournie par 
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Tutilisatenr. Cela permet d'eviter le risque de "rejeu" par un tiers qui aurait pu 
enregistrer la signature cryptge . 

En fonction de cette signature, des moyens ext6rieurs peuvent niettre en 
oeuvre une reconnaissance de Vindividu, 
5 Selon une variante particuli&re de l'invention, le dispositif peut effectuer 

lui-meme cette operation, Dans ce cas, il comprend des moyens de reconnaissance 
d'au mo ins un individu, en fonction de donn6es de reference stock£es dans ledit 
circuit int£gr£ monolithique. 

PreftSrentiellement, lesdits moyens de reconnaissance dfilivrent une 
10 information de reconnaissance, indiquant si un individu est ou non reconnu, ladite 
information de reconnaissance £tant crypt^e avant d'etre &nise k l'extdrieur dudit 
module. 

Par ailleurs , le dispositif de ^invention comprend avantageusement, dans 
ledit circuit intggre monolithique, une unite de stockage comprenant au moins un 
15 des 616ments appartenant au groupe comprenant : 

au moins une cl6 crypto graphique ; 

au moins un m6canisme de traitement s£curis£ de cl6s 
ciyptographiques ; 

au moins une donnee de reference representative d'un individu ; 
20 - des donn^es et/ou des programmes n^cessaires k la mise en oeuvre 

des moyens presents dans ledit circuit intSgre monolithique, 
Ladite units de stockage comprend de f a§on avantageuse au moins une 
m&noire de donn^es numeriques, appartenant par exemple au groupe comprenant 
les memoires flash, les memoires EEPROM, les m&noires EPROM, les m&noires 
25 ROM, les m6moires RAM, les memoires FeRAM, les m6moires MRAM, les 
m6moires magn£tiques. 

Selon un mode particulier de mise en oeuvre de Tinvention, le circuit 
int^gre monolithique comprend un capteur d'empreintes digitales, delivrant une 
image d'empreinte, des moyens de traitement de l'image g6n6r£e et des moyens 
30 ^extraction de minuties sur Timage traitfe. 
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H s'agit d'un mode de tnise en oenvre simple et efficace, 
De fa9on pr6f£rentielle, lesdits moyens de cryptographic mettent en oeuvre 
an moins un acc616rateur de calculs matfirieL 

Uinvention concerne Sgalernent un proc6de de reconnaissance d'au moins 
5 un individu, mettant en ceuvre un ou plusieurs dispositifs tels que d£ciits ci- 
dessus, Un tel procSd£ comprend notamment les Stapes suivantes, mise en oeuvre 
int^gralement & rinterieur d'un circuit int£gre monolithique : 

obtention d'informations biom^triques dudit individu, h l'aide d'au 
moins un capteur int£gr£ audit circuit intggrfi monolithique ; 
10 - traitement desdites informations biom&riques ; 

cryptage d'au moins une partie desdites informations biom£triques 
et/ou dune information de reconnaissance correspondante ; 
transmission vers 1'exterieur des donndes crypt&s, 
de fa9on que les donnSes £chang£es par le ou lesdits capteurs, lesdits moyens de 
15 traitement et lesdits moyens cryptographiques, et notamment lesdites informations 

biom^triques, soient conserv6es uniquement dans ledit circuit integrS 
monolithique, restant inaccessibles deptris Text^rieur, et que seules des donndes 
cryptees soient d£livr£es a l'exterieur dudit circuit int&gr6 monolithique. 

De fa<?on avantageuse, ledit circuit int6gr£ monolithique ddfinit un 
20 perimetre securis6, en mettant en oeuvre des moyens de protection empechant 
1'accSs aux donnees transitant, stock^es ou traitees dans ledit circuit int6gre 
monolithique. 

Pr6fSrentiellement s un tel proc6d6 met en o&uvre au moins un dispositif de 
reconnaissance comprenant ledit circuit int£gre monolithique et au moins un 
25 dispositif de contrSle d'acc&s communiquant avec ledit dispositif, apte h recevoir 
et traiter des donnees cryptees delivr6es par le ou lesdits dispositifs de 
reconnaissance, et k autoriser ou & interdire en consequence un accfes h au moins 
une donn^e, au moins un objet et/ou au moins un lieu. 

L r invention concerne encore de tels dispositifs de contrSle daccfes, 
30 comprenant des moyens dautarisation ou ^interdiction d ] acces t au moins une 



i 



WO 03/017210 



8 



PCT/FR02/02874 



donn£e, au moins un objet et/ou au moins un lieu, et des moyens pour recevoir et 
traiter des donn£es cryptfies d£livr6es par au moins dispositif de reconnaissance 
d'au moins un individu tel que d£crit plus haut 

^invention concern© Sgalement les systfemes de contr61e d'accfes h au 
moins une donn^e, au moins un objet et/ou au moins un lieu, mettant en osuvre au 
moins dispositif de reconnaissance d'au moins un individu et au moins un 
dispositif de controls d'acces tels que d£crits ci-dessus. 

Enfin, rinvention concerne les applications d'au moins un tel dispositif de 

■ 

reconnaissance d'au moins un individu k au moins un des domaines appartenant 
au groupe comprenant : 

Ie contrfile d r acc&s physique ; 
le contrfile d'accfes logique ; 
l'identification du porteur dudit dispositif ; 
la mise en oeuvre d'objets nomades ; 
les services bancaires ; 
les signatures ^lectroniques, 
Ces caracteristiques et avantages, ainsi que d'autres, apparaftront plus 
clairement h la lecture de la description suivante d'un mode de realisation 
preffirentiel de rinvention, donnee k titre de simple exemple illustratif et non 
limitatif , et des dessins annexes, parmi lesquels : 

la figure 1 est un schema fonctionnel illustrant la structure d'un 
dispositif de reconnaissance selon rinvention ; 
la figure 2 pr^sente un exemple de syst&me d'acces securise mettant 
en oeuvre rinvention. 
l/invention concerne done une nouvelle approche des systfemes 
biom^triques, reposant notamment sur la mise en oeuvre de moyens 
cryptographiques, permettant un traitement adapts des informations sensibles, 
relatives a un individu, de fa§on qu'une empreinte biom6trique non crypt£e ne soit 
jamais accessible k un tiers, 

Selon Tinvention, comme on le verra par la suite, les moyens mis en 
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ceuvre sont regroupes dans une « puce » unique, sur laquelle est notamment 
integre le ou les capteurs mis en oeuvre, H n'y a ainsi aucune circulation des 
informations sensibles (notamment Tempreinte biometrique) en dehors de la puce, 
et il n'est done pas possible de les relever ou de les remplacer frauduleusement. 

En d'autres termes, Tinvention pr£voit Integration du systeme 
biometrique complet dans un circuit integre monolithique, definissant un 
environnement parfaitement prot6g6, correspondant & un p£rimdtre s^curise au- 
deia duquel l'empreinte biometrique d'un individu ne sort pas, 

Des moyens de protection sont de plus pr£vus, dans le circuit integre, pour 
renforcer la s£curisation, en empSchant l'acc&s aux donnfes. 

La figure 1 pr^sente, de fagon fonctionnelle, un mode de realisation d'un 
dispositif selon Tinvention, detaillant les differents elements fonctionnels se 
trouvant sur le circuit integre monolithique, 

Ce dispositif comprend tout d*abord un capteur 11. H peut s'agir de tout 
type de composant eiectronique, sans aucune restriction, dfes lors qu'int6grable sur 
silicium, permettant la conversion d'une information biometrique physique 
caract6ristique d'un individu (par exemple : empreinte digitale, empreinte vocale, 
empreinte oculaire...)* en une information eiectrique exploitable par une cha&ie 
de traitement numerique. 

Ces capteurs peuvent notamment appartenir au groupe comprenant : 
des capteurs thenniques ; 
des capteurs de pression ; 
des capteurs optiques ; 
des capteurs de mouvement ; 
des capteurs de rayonnement ; 
des capteurs de caracteristiques electriques ; 
des capteurs de formes physiques. 
Us permettent par exemple la detection des informations biom6triques 
suivantes : 

empreintes digitales ; 
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empreintes vocales ; 
empreintes oculaires ; 
caract£ristiques morphologiques ; 
caracteristiques comportementales. 
5 Dans certains cas particuliers, plusieurs capteurs peuvent Stre associ^s 

dans un mSme dispositif, 

Le signal electrique 121 delivre par le capteur alimente des moyens 12 de 
mise en forme. II peut notamment s'agir d*un Element analog! que ou num&ique 
permettant le traitemerit de 1' information issue du capteur pour 1* adapter au 
10 dispositif d' extraction de caractferes pertinents. II pourra, par exemple, consister 
en une units de traitement d'image autorisant la reconstruction de Timage du 
caractdre biom£trique saisie de fajon imparfaite par le capteur, pour la rendre 
confonne a Timage originate. 

Le signal mis en forme 121 est ensuite dirig6 vers des moyens 13 

n' 

15 d*extraction de caracteres pertinents- Ces moyens permettent, par traitement 

num6rique suivant des algorithmes dependant du caractere physique traits, de 
compresser la grande quantite d'informations saisies par le capteur en extrayant 
une sorte de signature num&ique representative, de fa^on unique, de Tindividu. 

Selon l'invention, cette signature s6curis6e ne sort pas du perimfetre 

20 s6curis6 17 dgcrit par la suite, c'est-^-dire du circuit int6gr6 monolithique. Elle 

n'est done jamais accessible. Seule une version cryptee 141 est d£livr£e vers 
Texteiieur. 

Pour cela, le dispositif de ^invention comprend, dans le circuit intggre 
monolithique, des moyens cryptographiques 14, qui calculent une signature 
25 cryptographique (cryptage) de Tinformation num£rique repr6sentant les caracteres 

pertinents en utilisant un algorithme cryptographique, tel que par exemple Tun des 
algorithmes RSA, Courbes EUiptiques, DES , Triple DES , ou AES. 

Les cl£s n^cessaires pour effectuer ce traitement sont stockSes dans une 
units de stockage 15 s£curis6e. 
30 La signature cryptographique calculde 141 prend en compte 
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preferentiellement non seulement 1' information numerique representant les 
caractferes pertinents, mais egalement au moins un paramfetre aieatoire 142 g6n6r6 
et communique par le monde exterieur an systkme, afin d*6viter les possibility de 
« rejeu ». H ne faut pas, en effet, qu'une signature cryptographique qui aurait ete 
eniegistr^e puisse Stre r^utilis^e. Ce parametre aieatoire pent Stre une donn£e 
d^teiminde par un dispositif de contrdle d'acces qui communique avec le dispositif 
(et qui validera la signature en consequence), une donn6e horodatee, un code 
fourni par Tindividu , . . . 

La signature calculee 141 est 6mise vers Fexterieur par le biais d'une 

sortie 142. 

Ainsi, seuls la signature et le(s) parametre(s) aieatoire(s) circulent k 
l'exterieur du perim&tre s6cxxris6. Us permettent la reconnaissance de la signature 
par un dispositif exterieur de contrGle d'acc&s adapts. 

Selon une variants de realisation, on prevoit, a Vinterieur du drcuit integr6 
monolithique, des moyens 16 de reconnaissance, H s'agit de moyens optionnels, 
qui rendent le dispositif autonome en permettant la reconnaissance de l'individu 
en recherchant les caract&res pertinents issus de la saisie de ^information 
biometrique dans une base de caracferes de reference, representant par exemple un 
ensemble d'individus autorises, stockSe dans r unite de stockage 15 securisee. 

La sortie 161 permet d'indiquer si Findividu est reconnu. L*informatipn 
151 peut (et devrait) etre une signature cryptographique de sorte que le resultat de 
la recherche ne puisse Stre corrompu ou falsifie. 

L 'unite de stockage 15, qui peut Stre une m^moire de tout type (flash, 
EEPROM, EPROM, ROM, RAM, FeRAM, MRAM, magnetiques), renferme 
Tensemble des informations (donn£es et programmes) n^cessaires k la gestion du 
syst&me global, EUe contient, en particulier, les cies n^cessaires aux algorifhmes 
crypto graphiques integr£s, et r ensemble des m£canismes n6cessaires k la 
manipulation s£curis£e de ces cles (changement, generation, 

Si Funite de reconnaissance est integtee au circuit int£gr£ monolithique, 
cette unite de stockage 15 peut egaletnent contenir une base de caracteres 
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pertinents de reference permettant de determiner si nn individu fait partie d'un 
ensemble d'individus autoris6s> 

Le dispositif de reconnaissance de l'invention peut Sgalement contenir, k 
l'int&ieur ou k 1'extSrieur du perim&tre s6curis6, des moyens specifiques k une ou 
5 plusieurs applications auxquelles il est destine (stockage de donn^es, dans des 
applications telles que les telephones portables, ^informations personnelles, pour 
les applications telles que les "cartes de citoyen 11 ou les cartes relatives k la sant£, 
gestion de comptes, pour des applications de type porte-monnaie electronique, 
gestion de communication, avec un dispositif distant, tel qu'un serveur ou une 
10 machine, 

Avantageusement, Tensemble des moyens d£taill6s ci-dessus sont places k 
l'int&ieur d'un perimStre sdcurit6 17, c'est-&-dire du circuit integrfi monolithique. 
II convient de noter qu'il s'agit d'un p&im£tre physique dans lequel un certain 
nombre de moyens sont installs pour interdire Tacc&s aux informations qui 
15 transitent, sont stockges ou trait6es par tout moyen d'attaque connu, 

Les moyens de securisation, ou de protection, peuvent notamment 
comprendre : 

des moyens de surveillance de ralimentation 61ectrique dudit 
dispositif ; 

20 - des moyens de surveillance des caract£ristiques de Thorloge 

synchronisant le fonctionnement dudit dispositif ; 

des moyens de contrSle de la temperature dudit dispositif ; 

des moyens de brouillage des effets 61ectromagn£tiques iuduits par 

les traitements internes au dispositif ; 
25 - des moyens de protection anti-rayonnement ; 

des moyens de blindage 61ectromagn6tique$ ; 

des moyens de blindage physique destines k pr6venir et/ou dfitecter 
toute tentative d'intrusion physique ou 61eetrique sur le dispositif ; 
des moyens de brouillage des informations transitant, trait£es 5 ou 
30 stockdes dans le dispositif* 
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A titre d 9 exemple particulier, on consid&re ci-apr6s le cas de la 
reconnaissance d'une empreinte digitale, Dans ce cas : 

le capteur 11 pent Stre un capteur thermique ; 

les moyens 12 de mise en forme effectuent un traitement numerique 
5 de Timage coocrespondante ; 

les moyens 13 d* extraction de caract&res pertinents comprennent un 
calculateur realisant T extraction des minuties d'une empreinte 
digitale. 

Comme dejSt mentionnS, le dispositif de T invention est r6alis6 sous la 
10 forme d'un circuit integr£, L*impl£mentation du dispositif consiste alors en 
F assemblage sur un meme composant d'un capteur d'ernpreintes digitales, d'un 
circuit de traitement de Timage g£n6r6e, d'un circuit d'extraction de parantdtres 
pertinents (IP) bas6 par exemple sur le principe d'extraction de minuties, et d'un 
microcontrGleur s£curis£ permettant la gestion de 1' ensemble, ainsi que le calcul 
15 cryptographique (par le biais d'acceterateurs mat6riels adaptes). 

La reconnaissance de 1* empreinte peut Stre g6r6e k l*ext6rieur du 
composant ou a Faide d'un logiciel adapts. L*unit£ de stockage 15 sera compos^e 
par exemple d'un espace de m^moire flash integr£e dans le composant, 

Autour de ces blocs de base, un ensemble de moyens permettra de garantir 
20 la resistance de F ensemble k toutes les attaques connues k ce jour. 

La resistance de Fensemble est ainsi ^valuable, et evaluee, suivant les 
criteres cornmuns, avec une cible de protection 61ev6e (EAL 4+) correspondant k 
ce qui se fait de mieux en mati&re de s£curit£ k ce jour- II est k noter que ce type 
devaluation ne pourrait en aucun cas Stre obtenu ni approch£ avec les m^thodes 
25 classiques disponibles selon Tart anterieur, 

H s'agit done bien d'un ensemble monolithique, fabriquS classiquement 
par exemple par couches successives, selon des techniques de fabrication de 
circuits int6gr6$ connus en soi. En ce qui concerne F integration du capteur, la 
mise en ceuvre d'une telle approche est egalement connue, notamment pour des 
30 capteurs photo sensibles, par exemple en technologie CMOS, dans le doniaine des 



WO 03/017210 



14 



PCT/FR02/02874 



cameras et des appareils photographiques num&iques. On pourra notamment se 
r£f6rer aux nombreux documents de brevet relatif s k ces sujets listSs dans la classe 
H01L27/14 de la CIB, et par exemple au document de brevet FR-2819101 , dont 
le titulaire est ATMEL, et ayant pour titre « capteur photosensible en technologie 
des circuits int£gr£s » (non pubH^e k la date de priority de la pr^sente demande), 
ou encore 

Les applications de ce type de composant sont tioutes les applications ofi il 
est nScessaire de conditionner un acces physique ou logique (donn£es, local.,.) k 
la pr6sentation d'un « code » connu par la personne autoris^e. En Tesp&ce, le 
« code » est une information biom^trique crypt^e. 

Le domaine duplication de Tinvention est done tr£s vaste, II va du 
contrfile d'accSs k une carte k puce (auquel cas l'algorithme de reconnaissance est 
plac£ sur la carte), au contrfile d' acces k une chambre d'hfitel, en passant par le 
controle d'accfes k un produit nomade (PDA, telephone mobile, . .)< 

Plus gen^ralement, 1' invention trouve des applications dans tous les 
domaines suivants : 

le contrSle d* acces physique ; 

le contrSle d' acces logique ; 

1' identification du porteur dudit dispositif ; 

la mise en oeuvre d'objets nornades ; 

les services bancaires : 

* 

les signatures 61ectroniques, 

La figure 2 illustre un exemple de systeme mettant en oeuvre des 
dispositifs de reconnaissance tels que d^crits plus haut« 

H comprend une plurality de dispositifs 21 de reconnaissance, distribugs k 
un ensemble d'individus, et au moins un dispositif de contrSle d'acces 22, capable 
de recevoir et de trailer les informations cryptees 23 produites par un dispositif 21 , 
afin par exemple de commander l'ouverture d'une porte ou Taccfes k un fichier, 

Le dispositif de contrSle d'acces 22 comprend done des moyens pour 
fourmr une donnee ateatoire 142 pour le cryptage, et pour effectuer le decryptage 
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correspondant. 

Les echanges de donn£es entre le dispositif 21 de reconnaissance et le 
dispositif 22 de contrdle d'accfes peuvent se faire selon toutes les techniques 
adequates (contact k l'aide d'un lecteur adapts, transmission a distance par voie 
5 hertzienne ou infrarouge, etc.), 

Selon les applications, on pent prevoir un unique dispositif de contrdle 
d'acc&s 22 (acces k un local) ou un nombre €Lev6 de tels dispositifs de reception 
(cas des applications bancaires par exemple), 

Le dispositif 21 de reconnaissance peut former* ou Stre montg dans, un 
10 objet portatif (correspondant par exemple k une c\6 ou aux cartes bancaires 
actuelles), ou etre int6gr£ k un objet (ordinateur, portiere de v6hicule, ...) ou k une 
pifece, un batiment ou un site. 
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REVENDICATIONS 

1* Dispositif de reconnaissance d'au moins un individu, caract£rise en ce qu'il 
comprend, dans tin circuit integr£ monolithique obtenu par Tint^gration sur un 
meme substrat de silicium de : 

au moins un capteur d'informations biometriques , 
des moyens de traitement desdites informations biometriques f 
des moyens cryptographiques, deiivrant an moins une donate 
cryptee representative d'au moins une partie desdites informations 
biometriques et/ou d'une information de reconnaissance 
correspondents et 

des moyens de protection, empSchant l'accds aux, donn£es 
transitant, stockees et/ou traitees dans ledit circuit int^gre 
monolithique, pour former un p&im&tre s6curis6, 
de fagon que les donn£es 6changees par le ou lesdits capteurs, lesdits moyens de 
traitement et lesdits moyens cryptographiques, et notamment lesdites infonnations 
biometriques, soient conserves uniquement dans ledit circuit intfigre 
monolithique, restant inaccessibles depuis rexterieur, et que seules des donnees 
crypt6es soient d^livrees a Texterieur dudit circuit int6gr6 monolithique, 
2. Dispositif de reconnaissance d'au moins un individu selon la revendication 
1, caract6ris6 en ce que lesdits moyens de protection empSchant Tacces aux 
donnees comprennent au moins un des moyens appartenant au groupe 
comprenant : 

des moyens de surveillance de l'alimentation eiectrique dudit 
circuit integr£ monolithique; 

des moyens de surveillance des caract6ristiques d'une horloge 

synchronisant le fonctionnement dudit dispositif ; 

des moyens de contr61e de la temperature dudit circuit int6gr£ 

monolithique; 

des moyens de brouillage des effets eiectromagnetiques induits par 
les traitements internes au dispositif ; 
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des nioyens de protection anti-rayonnement ; 
des nioyens de blindage £lectromagn£tiques ; 
des moyens de blindage physique destines k pr6venir et/ou d£tecter 
toute tentative d'intrusion physique et/ou 61ectrique sur le 
5 dispositif ; 

des moyens de brouillage des informations transitant, trait^es et/ou 
stockees dans le dispositif. 

3. Dispositif de reconnaissance d'au moins un individu selon Tune 
quelconque des revendications 1 et 2 S caract£ris£ en ce que lesdites informations 

10 biom£triques appartiennent au groupe comprenant : 

des empieintes digi tales ; 

des empreintes vocales ; 

des empreintes oculaires ; 

des caract&istiques morphologiques ; 
15 - des caract6ristiques comportementales . 

4. Dispositif de reconnaissance d'au moins un individu selon Tune 
quelconque des revendications 14 3, caract£ris6 en ce que le ou lesdits capteurs 
appartiennent au groupe comprenant : 

des capteurs thermiques ; 
20 - des capteurs de pression ; 

des capteurs optiques ; 

des capteurs de mouvement ; 

des capteurs de rayonnement ; 

des capteurs de caracteristiques electriques ; 
25 - des capteurs de formes physiques, 

5. Dispositif . de reconnaissance d'au moins un individu selon Tune 
quelconque des revendications 1 k 4, caract&is6 en ce que lesdits moyens de 
traitement comprennent des moyens de inise en forme d'au moins un signal 
d61ivr6 par au moins un desdits capteurs et des moyens ^extraction dudit signal 

30 mis en forme d'au moins un caract&re pertinent, fonnant une signature num^rique 
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permettant d'identifier de manure unique un individu. 

6. Dispositif de reconnaissance d'au moins un individu selon l'une 
quelconque des revendications 1 k 5, caract£ris6 en ce que lesdits moyens 
cryptographiques d&ivrent une signature cryptographique, calculfie k l'aide tfau 
5 moins une cl6 stock£e dans une unit£ de stockage dudit circuit int6gre 
monolithique, 

7* Dispositif de reconnaissance d'au moins un individu selon la revendication 
8 , caract£ris£ en ce que ladite signature cryptographique tient compte figalement 
d'au moins un paramfetre al6atoire g6n£r6 et communique par des moyens 

10 ind^pendants dudit circuit int£gr6 monolithique. 

8. Dispositif de reconnaissance d'au moins un individu selon Tune 
quelconque des revendications 14 7, caract&is6 en ce qu'il comprend des moyens 
de reconnaissance d'au moins un individu, en fonction de donn&s de reference 
stockees dans ledit circuit int6gr£ monolithique. 

15 9* Dispositif de reconnaissance d'au moins un individu selon la revendication 

8, caracteris6 en ce que lesdits moyens de reconnaissance d^livrent une 
information de reconnaissance, indiquant si un individu est ou non reconnu, ladite 
information de reconnaissance gtant crypt£e avant d'Stre emise k l'ext&ieur dudit 
circuit intggrg monolithique, 

20 10, Dispositif de reconnaissance d'au moins un individu selon l'une 

i 

quelconque des revendications 14 9, caract6ris6 en ce que ledit circuit intggr6 
monolithique comprend une unite de stockage comprenant au moins un des 
elements appartenant au groupe comprenant : 

au moins une cl£ cryptographique ; 
25 - au moins un m£canisme de traitement s6curis£ de cles 

cryptographiques ; 

au moins une donn£e de reference representative d'un individu ; 
des donnees et/ou des programmes n6cessaires a la mise en oeuvre 
des moyens presents dans ledit circuit int£grg monolithique. 
30 11. Dispositif de reconnaissance d'au moins un individu selon la revendication 
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10 , caract&ise en ce que ladite unite de stockage comprend au moins une 
m6moire de dorm£es num£riques, 

12. Dispositif de reconnaissance d'au moins un individu selon la revendication 
11, caract6ris6 en ce que ladite ou lesdites m6moires de donn£es numeriques 
appartiennent au groupe comprenant les mdmoires flash, les memoires EEPROM, 
les m&noires EPRQM, les memoires ROM, les memoires RAM, les memoires 
FeRAM, les memoires MRAM, les memoires magn&iques. 

13. Dispositif de reconnaissance d'au moins un individu selon l'une 
quelconque des revendications 1 k 12, caracteris6 en ce que ledit circuit int£gre 
monolithique comprend un capteur d'empreintes digit ales, dfilivrant une image 
d'empreinte, des mo yens de traitement de 1'image gen£r€e et des moyens 
d'extraction de minuties sur Timage traittSe, 

14. Dispositif de reconnaissance d'au moins un individu selon l'une 
quelconque des revendications 1 a 13, caract£rise en ce que lesdits moyens de 
cryptographie mettent en ceuvre au moins un acc£l£rateur de calculs materiel. 

15. Proc6d6 de reconnaissance d'au moins un individu, caract£ri.se en ce qu'il 

■ 

comprend les Stapes suivantes, mise en ceuvre int6gralement k Tint^rieur d'un 
circuit intggie monolithique : 

obtention d'informations biom6triques dudit individu, k l'aide d'au 
moins un capteur intSgre audit circuit int£gre monolithique ; 
traitement desdites informations biom£triques ; 
cryptage d'au moins une partie desdites informations biom6triques 
et/ou d'une information de reconnaissance correspondante ; 
transmission vers 1'exterieur des donn^es crypt^es, 
de fagon que les donn^es 6chang6es par le ou lesdits capteurs, lesdits moyens de 
traitement et lesdits moyens cryptographiques, et notamment lesdites informations 
biometriques, soient conserv6es uniquement dans ledit circuit int<Sgr6 
monolithique, restant inaccessibles depuis rexterieur, et que seules des donnees 
crypt&s soient d61ivr6es k l'exterieur dudit circuit intSgrg monolithique, 

16. Proc6d£ de reconnaissance d'au moins un individu selon la revendication 
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15 , caract£ris£ en ce que ledit circuit int6gr6 moriolithique d6finit un perimetre 
s£curis6, en mettant en ceuvre des moyens de protection ernpSchant l'acc&s aux 
donnees transitant, stockees ou traitges dans ledit circuit int6gr£ monolithique. 

17. Proc6d£ de reconnaissance d'au moins un individu selon Tune quelconque 
5 des revendications 15 et 16, caract£ris6 en ce qu'il met en ceuvre au moins un 

dispositif de reconnaissance comprenant ledit circuit int6gr6 monolithique et au 
moins un dispositif de contrdle d'acc&s communiquant avec ledit dispositif de 
reconnaissance, apte k recevoir et traiter des donnees cryptges d£livr6es par le ou 
lesdits dispositif s de reconnaissance 3 et k autoriser ou k interdire en consequence 
10 un acc&s a au moins one doimee, au moins un objet et/ou au moins un lieu. 

18. Dispositif de contrSIe d'accfes comprenant des moyens d'autorisation ou 
d'interdiction d'acces k au moins une donn6e, au moins un objet et/ou au moins un 
lieu, caract&isfi en ce qu'il comprend des moyens pour recevoir et traiter des 
donnees cryptees d61ivr6es par au moins dispositif de reconnaissance d'au moins 

15 un individu selon l'une quelconque des revendications 1 k 14. 

19. Systfeme de contrSIe d'accfes k au moins une donn6e, au moins un objet 
et/ou au moins un lieu, caractdrise en ce qu r il comprend au moins dispositif de 
reconnaissance d'au moins un individu selon l'une quelconque des revendications 
1 k 14 et au moins un dispositif de contrdle d'accSs selon la revendication 18. 

20 20. Application d'un dispositif de reconnaissance d'au moins un individu selon 

Tune quelconque des revendications 1 k 14 et/ou d'un proced6 de reconnaissance 
tfau moins un individu selon Tune quelconque des revendications 15 k 17 k au 
moins un des domaines appartenant au groupe comprenant : 

le contrdle d'accfes physique ; 
25 - le contrdle d'acces logique ; 

Kdentification du porteur dudit dispositif ; 

la mise en ceuvre d'objets nomades ; 

les services bancaires ; 

les signatures glectroniques. 
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